En bref
Le badge d'accès traçable génère des données personnelles soumises au RGPD. L'employeur doit informer les salariés, consulter le CSE et réaliser une analyse d'impact, sous peine de sanctions lourdes.
Nature juridique des données de badgeage en entreprise
Art. 5, §1 RGPD
« Les données personnelles doivent être traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées, explicites et légitimes, et conservées pour une durée limitée à ce qui est nécessaire. »
Source : RGPD — texte officiel
Art. L.1222-4 C. trav.
« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. »
Source : Code du travail — article consolidé
Bases légales et finalités autorisées du traitement
Art. L.1121-1 C. trav.
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »
Source : Code du travail — article consolidé
Détournement de finalité des données de badgeage
L'exploitation des données de badge pour surveiller la productivité individuelle ou les activités syndicales constitue un détournement de finalité pénalement sanctionné par cinq ans d'emprisonnement et 300 000 euros d'amende.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Obligations d'information et consultation préalable du CSE
Cass. soc., 11 février 2015, n° 13-16.457
« La Cour de cassation juge que la modification des clauses du règlement intérieur doit respecter la procédure de consultation préalable prévue à l'article L.1321-4 du Code du travail, à défaut de quoi la clause modifiée est inopposable. »
Source : JUDILIBRE — Cour de cassation
Constituer un dossier de conformité complet avant déploiement
Réunissez dans un dossier unique la notice d'information individuelle, le procès-verbal de consultation du CSE, l'analyse d'impact et la mention au registre des traitements pour démontrer votre conformité lors d'un contrôle CNIL.
Analyse d'impact et exigences de proportionnalité
Cass. soc., 13 janvier 2010, n° 08-19.917
« La Cour de cassation juge que l'obligation de présenter un badge et de passer sous un portique de sécurité pour accéder au local syndical caractérise une atteinte à la liberté syndicale, en l'absence de justification proportionnée de l'employeur. »
Source : JUDILIBRE — Cour de cassation
Surveillance disproportionnée par géolocalisation interne fine
L'enregistrement systématique de chaque déplacement entre zones internes, alors que seul le contrôle d'accès périmétrique est justifié, constitue une violation du principe de minimisation susceptible de sanction CNIL.
Durées de conservation et droits des salariés
Automatiser la purge des journaux de badgeage
Paramétrez une suppression automatique des journaux d'accès au-delà de trois mois et des données de temps de travail au-delà de cinq ans, avec journalisation des opérations de purge pour traçabilité de la conformité.
Sanctions encourues en cas de non-conformité RGPD
Le non-respect du cadre RGPD applicable aux badges traçables expose l'employeur à un triple régime de sanctions dont la convergence constitue un risque juridique majeur.
Sur le plan administratif, la CNIL peut prononcer des amendes atteignant vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les mises en demeure publiques, les injonctions de mise en conformité et les limitations temporaires de traitement complètent cet arsenal. La surveillance en milieu professionnel fait l'objet d'un programme de contrôle thématique régulier de l'autorité.
Sur le plan prud'homal, les données collectées en violation des obligations d'information ou de consultation sont susceptibles d'être écartées des débats comme preuve illicite. Un licenciement fondé sur des données de badgeage obtenues irrégulièrement sera jugé sans cause réelle et sérieuse. Le salarié peut en outre obtenir réparation du préjudice moral résultant de l'atteinte à sa vie privée sur le fondement de l'article 9 du Code civil.
Sur le plan pénal, les articles 226-16 à 226-24 du Code pénal sanctionnent les atteintes aux droits résultant des traitements informatiques. Le détournement de finalité est puni de cinq ans d'emprisonnement et de trois cent mille euros d'amende. La responsabilité du dirigeant peut être engagée personnellement, cumulativement à celle de la personne morale.
Violation de vos données personnelles ? Constituez votre dossier RGPD.
Créer mon dossier RGPDQuestions fréquentes
L'employeur peut-il utiliser les données du badge pour contrôler les horaires de travail ?
Oui, à condition que cette finalité soit expressément déclarée, que les salariés en soient informés préalablement et que le CSE ait été consulté. La base légale est alors l'obligation légale de décompte du temps de travail. Les données peuvent être conservées cinq ans.
Faut-il réaliser une analyse d'impact pour un système de badges d'accès ?
La CNIL impose une analyse d'impact pour tout dispositif impliquant une surveillance systématique des salariés. Un système de badges traçables enregistrant les passages entre zones entre dans cette catégorie. L'analyse doit être réalisée avant le déploiement et actualisée régulièrement.
Combien de temps les données de badgeage peuvent-elles être conservées ?
La CNIL recommande trois mois maximum pour les journaux d'accès à finalité sécuritaire. Lorsque les données servent au décompte du temps de travail, la conservation peut atteindre cinq ans, en cohérence avec la prescription des créances salariales.
Un salarié peut-il refuser de porter un badge d'accès traçable ?
Le refus n'est en principe pas admis si le dispositif est proportionné, déclaré et que les procédures d'information et de consultation ont été respectées. En revanche, le salarié peut exercer son droit d'opposition si le traitement porte une atteinte disproportionnée à ses libertés fondamentales.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours